Un collectif de pirates, considéré comme étatique, a été identifié sans connaitre sa réelle allégeance. Des cibles russes dans les zones occupées de l’Ukraine ont été espionnées pendant un long moment, tout comme deux soldats ukrainiens.

Un nouveau groupe de hackers, potentiellement étatique, a été détecté. Dans un rapport publié ce 10 mai 2023, la société de cybersécurité Malwarebytes attribue cinq opérations entre 2020 et 2023 à ce collectif, qu’elle a baptisé Red Stinger. Les motivations et l’allégeance du groupe ne sont pas encore claires. Cependant, les campagnes de vol de données sont persistantes et suffisamment graves pour les suivre de près. La majorité des victimes sont russes, avec quelques cibles ukrainiennes très précises.

Durant ces opérations, les attaquants ont compromis les ordinateurs des victimes afin d’exfiltrer des captures d’écran, les frappes de claviers, des documents, et même d’enregistrer le son de leurs microphones. Le collectif a ciblé plusieurs responsables des référendums factices organisés en septembre 2022 dans les régions occupées de l’Ukraine, notamment à Donetsk et Marioupol.

Le début d'un mail personnalisé envoyé aux cibles, avec le sceau de la Fédération de Russie. // Source : Malwarebytes
Le début d’un mail personnalisé envoyé aux cibles, avec le sceau de la Fédération de Russie. // Source : Malwarebytes

Deux militaires basés dans le centre de l’Ukraine ont été directement ciblés, avec de nombreuses données exfiltrées. « Nous avons déjà vu des cas de surveillance ciblée, mais le fait qu’ils collectent des enregistrements de microphones et des données de clés USB est inhabituel. »

Des faux sites pour des postes dans les régions occupées

La société de cybersécurité Kaspersky a aussi identifié ce groupe et a découvert qu’il piégeait des dirigeants dans les zones occupées, avec des mails personnalisés contenant un prétendu décret envoyés par les autorités en place.

« Les logiciels malveillants et les techniques utilisés dans cette campagne ne sont pas particulièrement sophistiqués, mais ils sont efficaces, et le code n’a aucun lien direct avec ce que l’on a rencontré dans le passé », ont écrit les chercheurs de Kaspersky.

Parmi les autres méthodes, un site web de phishing a été créé par ce collectif, laissant croire qu’un concours était organisé pour pourvoir prétende à des postes dans les villes occupées. Les gagnants se sont vus promettre 1 000 000 de roubles pour un programme de formation choisi personnellement dans la Fédération de Russie.

Un faux site pour accéder à un prétendu concours offrant des postes dans les régions occupées de Donetsk. // Source : Malwarebytes
Un faux site pour accéder à un prétendu concours offrant des postes dans les régions occupées de Donetsk. // Source : Malwarebytes

Les chercheurs de Malwarebytes ont découvert que deux des ordinateurs à l’origine du malware ont été touchés par leur propre produit. Cela peut arriver par erreur ou dans une phase de test des développeurs.

Autres indices étranges, le choix de l’anglais comme langue par défaut du logiciel malveillant et l’utilisation de l’échelle de température Fahrenheit pour afficher le temps, ce qui suggère probablement l’implication d’anglophones.

Impossible avec tous ces critères de déterminer l’allégeance réelle du groupe. Ce qui est sûr, c’est que le principal motif de l’attaque était la surveillance et la collecte de données.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !